Zintegrowane bezpieczeństwo

Włączanie zagadnienia bezpieczeństwa na etapie projektowania maszyny lub procesu jest dużo bardziej opłacalne, niż odkładanie tego na później. Poniżej kilku integratorów i producentów przedstawia swoje podejście w kwestii implementacji bezpieczeństwa na etapie projektowania oraz pokazuje, jakie płyną z tego korzyści.

Awarie w przemysłowychsystemach bezpieczeństwa mogą powodować śmierć i zniszczenie; uwzględnianie kwestii bezpieczeństwa w procesie projektowania może zaoszczędzić czas, pieniądze i uratować życie oraz pozwolić uniknąć wielu tragicznych zdarzeń, jak katastrofa wynikająca z zabójczej eksplozji na morskiej platformie wiertniczej w zatoce meksykańskiej, która pochłonęła 11 ofiar śmiertelnych. Parę miesięcy temu podziemna eksplozja spowodowana gazem metanowym zabiła 29 osób w kopalni w Zachodniej Virginii. Te tragiczne wydarzenia, bardzo różniące się od siebie na wiele sposobów, mają jedną cechę wspólną: gdzieś zawiódł system bezpieczeństwa przemysłowego.

W produkcji podchodzi się do spraw bezpieczeństwa poważnie – i dzięki temu tragedie są wyjątkiem, a nie zasadą – lecz pozostaje faktem, że jeśli systemy bezpieczeństwa i procedury osłabną choć na chwilę, katastrofa może nastąpić. Systemy muszą być niezawodne; potrzeba integrowania bezpieczeństwa z wyposażeniem technologicznym i operacjami technologicznymi już na początku procesu projektowania nigdy nie była bardziej oczywista niż obecnie, w czasach technologicznego zaawansowania. Włączanie kwestii bezpieczeństwa w projektowanie technologii pomaga uniknąć strat mienia i życia oraz jest prostsze, bardziej efektywne i tańsze, niż robienie tego później.
Podejście do kwestii bezpieczeństwa jako sprawy do załatwienia na później powoduje trudności w rozwiązaniu tych kwestii w istniejącej maszynie, procesie lub systemie. Czasopismo Control Engineering zwróciło się do czołowych producentów, sprzedawców oraz integratorów z prośbą o opinię na temat integracji funkcji bezpieczeństwa z systemami technologicznymi i uzyskiwanych z tego korzyści.

Zautomatyzowany system podawania materiału
Firma CNC Solutions z Wisconsin, poprzez zautomatyzowanie systemu podawania materiału, pomogła swojemu klientowi uprościć wykonywaną przez niego operację, zmniejszyć pracochłonność oraz wytwarzać bardziej jednorodny produkt, szybciej niż to umożliwiał poprzedni system manualny. Jest integratorem, który skupia się na wykorzystywaniu technologii do wprowadzenia automatyzacji pracy maszyny i procesów sterowania, i uważa, że automatyzacja jest kluczem do tego, aby pozostawać konkurencyjnym, zapewniać bezpieczeństwo oraz osiągać szybki zwrot z inwestycji. Urazy powodują przestoje, zwiększają odszkodowania dla pracowników i składki ubezpieczeniowe oraz wpływają na końcowy wynik finansowy.

W opisywanym przypadku rozmiar i ciężar metalowych blaszanych półwyrobów wymagał rozważenia kwestii podawania materiału. Wykonywana u klienta ręczna operacja była pracochłonna, wymagająca zaangażowania dwóch osób do obsługi produktu. Ostre krawędzie metalowej blachy stwarzały zagrożenie bezpieczeństwa i powodowały wielorakie żądania odszkodowań. Firma CNC Solutions poszukiwała możliwości zmniejszenia potrzebnej obsługi materiału, w wyniku tego tylko jedna osoba w sposób bezpieczny obsługuje system. Osiągnięto to poprzez wyeliminowanie potrzeby fizycznego kontaktu pracownika z produktem podczas procesu. Poprzednio pracownik dotykał produkt osiem razy, a obecnie w ogóle, jak mówi integrator zaangażowany w tę pracę.

W tym nowym systemie robot przenosi produkt z jego poprzedniej operacji bezpośrednio do gniazda roboczego, w formie stosu. Wielostanowiskowy, zrobotyzowany system przetwarza części zgodnie z potrzebą i układa je w stos do użycia w następnej operacji. Jeden operator wprowadza numer części do interfejsu HMI i przewozi na wózkach kołowych ustawione w stos części do i z gniazda roboczego, przez co zmniejsza się częstość występowania urazów. Osłony graniczne z bramkami dostępu i blokadami drzwi jeszcze bardziej zwiększają bezpieczeństwo.

Programowalne sterowniki logiczne (PLC), szybki, bezpieczny rozruch
Integratorzy systemu z firmy D&D Automation w Stratford, Ontario, Kanada, mówią, że zanim jakiekolwiek urządzenie będzie mogło działać, powinny być umieszczone na swoim miejscu wszystkie obwody zabezpieczające. Podczas fazy projektowania przedsięwzięcia może być niemożliwe objęcie wszystkiego z punktu widzenia integracji bezpieczeństwa, lecz nadal najlepszym rozwiązaniem jest uwzględnienie tak wielu tych kwestii, jak to jest możliwe.
Przy uruchamianiu nadwoziowni dla zakładu montażu samochodów pierwszym krokiem firmy D&D Automation było utworzenie komunikacji i połączeń sieciowych na wszystkich liniach ramowych, wykorzystując sterowniki PLC bezpieczeństwa firmy Pilz.

Realizujący tę pracę integrator twierdzi: – Z chwilą kiedy mieliśmy gotową całą naszą łączność bezpieczeństwa wraz z sieciami, mogliśmy rozpocząć oznakowanie we/wy bezpieczeństwa. W większości przypadków sterownik PLC bezpieczeństwa to luksus, gdyż możliwe jest wówczas dopasowanie swojego układu logicznego bezpieczeństwa i wykonanie modyfikacji zgodnie ze swoimi potrzebami, bez konieczności zmiany okablowania przekaźników. Poszczególne kroki procesu oddawania do użytku ciągle mają zastosowanie. Możliwość modyfikacji układu logicznego bezpieczeństwa w sterownikach PLC bezpieczeństwa jest również ich wadą. Aby zapobiec niewłaściwym zmianom lub fałszowaniu, należy koniecznie chronić swoją pracę hasłem!

Wyłączniki bezpieczeństwa/awaryjne, bramki oraz kurtyny świetlne musiały być tak funkcjonalne, jak jest to możliwe, aby chronić pracowników w lub wokół gniazda roboczego. Programowalne sterowniki PLC bezpieczeństwa pozwalają integratorowi na prawie całkowite dopasowanie funkcjonalności bezpieczeństwa do potrzeb. Wydział sterowania obiektem opracował modułowe bloki funkcyjne. Integrator pomógł w opracowaniu i wdrożeniu kombinacji bloku kurtyna świetlna/bramka bezpieczeństwa. Gdy bramki są otwarte i płaszczyzna bramki kurtyn świetlnych jest przerwana, system generuje sygnał zatrzymania awaryjnego w przyległym gnieździe roboczym.

Pomoc ekspercka w integracji systemu bezpieczeństwa
W projektowaniu automatyzacji zabezpieczeń obowiązują odpowiednie przepisy prawne, a wykonana aplikacja musi być zwalidowana (czasem przez agencję nadzorujacą) celem upewnienia się, że związane z jej stosowaniem ryzyka są na akceptowalnych poziomach, biorąc pod uwagę różne zastosowania. Na przykład, czy zostaną zachowane warunki bezpieczeństwa w przypadku niewłaściwego użycia lub awarii wyposażenia?

– Wprowadzanie technologii zabezpieczeń do projektu wymaga wiedzy eksperckiej oraz lat doświadczeń – twierdzi Juergen Bukowski, kierownik programu bezpieczeństwa firmy Sick. – Programowanie zabezpieczeń zależy w dużym stopniu od umiejętności programisty sterownika PLC, który musi uruchomić urządzenia i utrzymać w ruchu, dostosować je do otoczenia oraz „w biegu” wykonywać zmiany. Rozważmy zastosowanie systemu bezpieczeństwa, w którym materiał musi wyjść z maszyny, lecz ani osoba, ani materiał nie może mieć możliwości wejścia. Może to być uzyskane poprzez „stłumienie” działania kurtyny świetlnej, z dodatkowymi czujnikami. Stłumienie automatycznie chwilowo wstrzymuje działanie urządzenia zabezpieczającego. Kiedy czujniki wykryją paletę, kurtyna świetlna jest stłumiona.

– Sterowniki PLC bezpieczeństwa mogą wykonać tę pracę – zauważa Bukowski. Bezpieczny, uprzednio certyfikowany blok funkcji tłumienia zapewnia bezpieczne wstrzymanie działania tej kurtyny świetlnej. Przyjmując, że czujnikiem tłumienia działania kurtyny jest przełącznik refleksyjny, dla którego polaryzacja wyjścia jest typu HIGH, kiedy widzi on reflektor, oraz typu LOW, kiedy obiekt znajduje się na drodze światła. – Blok funkcji tłumienia musi być typu HIGH na wejściu czujnika, aby stłumić działanie kurtyny świetlnej – dodaje Bukowski. – Niedoświadczony integrator może nie widzieć w tym problemu i mówić „Zanegujmy sygnał, używając bloku funkcji NIE” .

– Chociaż takie rozwiązanie może wydawać się bezpieczne – kontynuuje Bukowski – co stanie się, kiedy zawiedzie wspólne zasilanie tych dwóch czujników? Oba czujniki będą wyłączone – stwierdza. – Dla sterownika PLC bezpieczeństwa oznacza to, że oba czujniki widzą obiekt, czego rezultatem jest wstrzymanie działania kurtyny świetlnej. Przez przystosowywanie koncepcji bezpieczeństwa (bloku funkcji) do rzeczywistego scenariusza pracy, łatwo może wystąpić niebezpieczna sytuacja – ostrzega. – W tym przypadku byłoby niezbędne użycie czujników z polaryzacją typu active HIGH w połączeniu z dodatkowymi sygnałami sterującymi lub monitorowaniem czasu.

Przedsiębiorstwa ostrożnie wybierają wykwalifikowanych integratorów do swoich projektów automatyzacji. Taką samą ostrożność muszą zachować przy wyborze wykonawców systemów bezpieczeństwa tych projektów. – Należy utrzymywać ich oddzielnie – sugeruje Bukowski. – Doświadczeni integratorzy systemów bezpieczeństwa zmniejszą prawdopodobne ryzyko zagrożenia podczas wszystkich faz inwestycji. Wykorzystywanie prostych, łatwych w użyciu narzędzi projektowania, symulacji oraz przeprowadzania testów pomaga w ocenie funkcji bezpieczeństwa, poprzez cały cykl żywotności maszyny lub inwestycji.

Sterowniki PLC bezpieczeństwa, sieć bezpieczeństwa safety Ethernet, jeden przewód
Wprowadzanie funkcji bezpieczeństwa już na początkowym etapie procesu projektowania jest dużo lepszą opcją, zgodnie twierdzą Siemens i jego partner wdrożeniowy Advanced Engineering. Korzystne jest rozpoczynanie nawet od małych systemów, ponieważ większość możliwości systemu bezpieczeństwa może być wykorzystywana, gdy system się rozbudowuje.

Przy realizacji ostatniego projektu pracownicy Advanced Engineering przekonali się, w jaki sposób możliwie wczesne specyfikowanie sterowników PLC bezpieczeństwa w procesie planowania daje oszczędności czasu i pieniędzy przy projektowaniu okablowania i planowaniu funkcjonalności. – Wykorzystanie sieci bezpieczeństwa safety Ethernet do realizacji funkcji start/stop, odniesienia prędkości oraz bezpieczeństwa, poprzez ten sam przewód dało „wielkie oszczędności” – twierdzi Jim Neufeldt, prezes tej firmy. – Wkrótce wszystko będzie miało sieć bezpieczeństwa safety Ethernet. Wystarczy podłączyć wtyczkę do urządzenia, a uzyska się sterowanie, diagnostykę oraz bezpieczeństwo. Można ustalić strefy i zresetować urządzenie. Z inteligentnymi urządzeniami, takimi jak napęd, dostępnesą również inne funkcje.

Firma ta wykonuje dużo prac w przemyśle motoryzacyjnym i zainstalowała wiele systemów bezpieczeństwa z ponad 200 punktami bezpieczeństwa we/wy. – Zwykle wymaga to wykonania bardzo dużego okablowania – stwierdza Neufeldt. – Rozmieszczając moduły we/wy, przy wykorzystywaniu standardu Profinet oraz sterownika Simatic S7-300F firmy Siemens, znacznie zmniejsza się okablowanie oraz zwiększa bezpieczeństwo operatora.

W pewnym przypadku producent samochodów, ustalając strefy dla robotów i pras do tłoczenia, poszukiwał rozwiązań do zabezpieczenia tych stref. Zabezpieczenia te wymagałyby użycia dużej liczby przekaźników bezpieczeństwa i producent zaniepokojony był kosztami. Integrator zasugerował projekt z użyciem sterowników PLC bezpieczeństwa i modułów bezpieczeństwa we/wy. Projekt obejmował strefy ochronne pomiędzy prasami i ustalał, które funkcje wyłączyć dla każdej ze stref, tak aby operatorzy mogli bezpiecznie wejść do strefy. Użycie do tego przekaźników musiałoby kosztować około 100 000 dolarów. Projekt z użyciem sterowników PLC bezpieczeństwa został zrealizowany za około 60 000 dolarów.
Zostały wykonane modyfikacje systemu, które byłyby prawie niemożliwe do wykonania przy użyciu przekaźników. Natomiast używanie sterowników PLC bezpieczeństwa daje wiekszą elastyczność, umożliwia diagnostykę, wymaga użycia mniejszej ilości przewodów oraz pozwala na wykonywanie obsługi rozproszonych modułów we/wy bez przestojów.

Integracja bezpieczeństwa w firmie GM
Większy nacisk na integrowanie bezpieczeństwa może również zwiększyć wydajność i zaoszczędzić miliony dolarów. Ponad 15 lat temu firma General Motors rozpoczęła działania zmierzające do tego, aby jej wskaźniki dotyczące bezpieczeństwa znalazły się wśród najlepszych na świecie. Przyjęty program spowodował zmniejszenie wskaźnika częstotliwości wypadków w zakładach firmy w Północnej Ameryce, zmniejszając wskaźnik przypadków strat dni roboczych pomiędzy latami 1993 i 2008 z 4,5 na 100, do 0,14 na 100. – Ten producent samochodów osiągnął to, czyniąc bezpieczeństwo i nasze zaangażowanie w sprawy bezpieczeństwa widoczne dla każdego na każdym poziomie – stwierdza Mike Douglas, członek ścisłego kierownictwa i konsultant firmy Global Health & Safety, Design, Standards and Technologies.

Kierownictwo firmy GM i związkowcy współpracowali przy integrowaniu bezpieczeństswa od poziomu warsztatu do najwyższych stanowisk. Wśród podjętych działań było powoływanie zespołów zadaniowych do spraw bezpieczeństwa oraz tworzenie programu oceny ryzyka w celu identyfikacji potencjalnych zagrożeń, określenie potrzeb automatyzacji systemów bezpieczeństwa oraz zapewnienie, aby maszyny i urządzenia spełniały wymagania zgodnie z przepisami. W ramach jednego z projektów, dla zrutynizowania zadań i integracji w produkcji, zainstalowano urządzenia sterowania bezpieczeństwem firmy Rockwell Automation. To pozwoliło zaoszczędzić firmie GM kilka milionów dolarów rocznie w pięciu zakładach oraz zmniejszyło przestoje. Rozwiązania dotyczące bezpieczeństwa zwiększyły przepustowość o cztery samochody na każde pięć godzin, co wpłynęło na wynik finansowy.

Ten proces oceny ryzyka prowadził również do integrowania funkcji sterowania standardowego i bezpieczeństwa, usprawniając budowę sprzętu, okablowania i koszty produkcji. Działania firmy GM skupiły się na programowalnych sterownikach, w celu zmniejszenia ilości kabli i kosztów robocizny z tym związanej. Firma GM współpracowała z firmą Rockwell Automation, aby opracować i wdrożyć urządzenie, które stało się sterownikiem Allen-Bradley GuardLogix. Te sterowniki, o poziomie pewności zabezpieczeń SIL 3, łączą funkcje sterowania standardowego i bezpieczeństwa. Ich zastosowanie pomogło firmie GM skrócić czas instalacji i usuwania błędów nowego wyposażenia nadwoziowni. Poprzednio okablowanie dla gniazda roboczego z pięcioma robotami wymagało użycia 640 przewodów i kabli. Nowy system wymagał jednego pięciożyłowego kabla.

Integrowanie bezpieczeństwa funkcjonalnego, sterowanie ruchem
Integratorzy z doświadczeniem eksperckim w zakresie sterowania ruchem są często proszeni o wdrożenie sterowania serwonapędem do istniejącej maszyny lub procesu. – Sterowanie serwonapędem może dawać korzyści, lecz gdy kiedykolwiek dodawany jest nowy ruch, musi być brane pod uwagę bezpieczeństwo funkcjonalne maszyny – mówi Gary Thrall, starszy inżynier produktu w firmie Bosch Rexroth.

Twierdzi on, że najlepiej uwzględnić bezpieczeństwo funkcjonalne na etapie projektowania maszyny, niż jako dodatek wykonywany na końcu. Wytwórca wielkoseryjnego zespołu samochodowej poduszki powietrznej poprawił czas cyklu przez łączenie kurtyny świetlnej dostępu do stanowiska załadowania/rozładowania z wejściem ogranicznika krańcowego ruchu do przodu serwonapędu. Serwonapęd porusza ramiona składające poduszkę. Gdyby operator sięgnął poprzez kurtynę świetlną, kiedy maszyna ciągle porusza się w kierunku stanowiska rozładowania, ruch w tej osi zostałby zatrzymany. W ruchu powrotnym, po zwolnieniu wykonanej poduszki powietrznej, ruch byłby dozwolony, nawet gdyby ręce operatora przeszły przez kurtynę.

– Stosując standardowe (a nie bezpieczne) wejście bez redundancji lub diagnostyki, jedna awaria mogłaby spowodować utratę funkcji zatrzymywania i pozwalać na szybki ruch w kierunku rąk operatora – zagrożenie, którego firma chciała uniknąć – mówi Thrall. Stwierdza on, że standardowe wejście ogranicznika krańcowego ruchu serwonapędu stanowi obwód zaprojektowany zgodnie z zasadami dobrej praktyki, lecz nie jest to obwód kwalifikowany pod względem bezpieczeństwa. Wśród ocen maszyn żadna nie kwalifikowała się do kategorii stan niebezpieczny, lecz postanowiono obniżyć poziom ryzyka. Thrall sugeruje wzięcie pod uwagę napędu Safe Direction (norma IEC EN 61800-5-2). Safe Direction zapewnia monitorowanie ruchu osi, z certyfikowaną funkcją bezpieczeństwa, co redukuje oś do stanu zero momentu, jeśli porusza się ona dalej niż konfigurowalna odległość, w „złym” kierunku. Po skonfigurowaniu monitorowanie może być włączone i wyłączone przez nadmiarowe, uzupełniające, bezpieczne wejścia do napędu – w tym przypadku z wyjść kurtyny świetlnej.

– W wielu przypadkach doposażania istniejących systemów – kontynuuje Thrall – pierwotny system może być nienowoczesny, jeśli chodzi o podstawowe zabezpieczenia i blokady. Często wszystko, co zostało zamontowane, to prosty jednokanałowy nienadmiarowy wyłącznik awaryjny służący do odłączania zasilania. Dodawanie właściwych zabezpieczeń i blokad drzwi, które odłączają zasilanie serwonapędów, może powodować nowe błędy i stwarzać problemy ponownego uruchomienia.

Dave Stuber z firmy Custom Controls Solutions, sugeruje zastosowanie funkcji Safe Stop 2 (norma IEC EN 61800-5-2), co chroni operatora, gdyby napęd niespodziewanie się uruchomił. Wszystkie osie w skomplikowanym systemie mogą zachować położenie i synchronizację, podczas gdy drzwi są otwarte do ustawiania. Funkcja bezpieczeństwa monitoruje ruch i wyłącza do stanu zero momentu w przypadku, gdy przekraczana jest określona bezpieczna granica.

Bezpieczeństwo zintegrowane zwiększa pewności zabezpieczeń
– Systemy automatyki zabezpieczeniowej (SIS – Safety Instrumented Systems) wymagają, aby integrator wykazywał się kompetencją i kwalifikacjami do wykonywania pracy przy systemach SIS oraz dostarczał sprawdzony system, który spełnia wymagania klienta co do poziomu nienaruszalności bezpieczeństwa (SIL – Safety Integrity Level) każdej funkcji automatyki zabezpieczeniowej (SIF – Safety Instrumented Function) – mówi Neil Crompton, dyrektor generalny firmy Trinity Systems.– Większość systemów bezpieczeństwa musi mieć funkcje komunikacyjne bezpiecznie i pewnie zintegrowane z infrastrukturą komunikacyjną systemu DCS. Aby to zrobić, integrator musi konfigurować i rozmieścić układy komunikacji dla systemów SIS i DCS – dodaje.

Integratorzy muszą umocnić integrację komunikacji przez zapewnienie bardzo bezpiecznych i odpornych systemów. Bezpieczeństwo cybernetyczne ma coraz większe znaczenie. Bez tego integrator mógłby dostarczyć system, który straciłby możliwość widzenia lub, co gorsze, utracić dane typu real-time pomiędzy systemem SIS i systemem DCS. Integratorzy muszą wzmocnić elementy bezpieczeństwa cybernetycznego systemów SIS oraz DCS, opracować nowe narzędzia i nowe specjalizacje.

Funkcje systemu SIS muszą być odpowiednio oddzielone od funkcji systemu DCS, tak aby utrata komunikacji lub integralności nie przeszkodziła systemowi bezpieczeństwa w wykonywaniu swojej funkcji.

Niektóre systemy SIS same chronią dostęp komunikacyjny. W pewnym przypadku firma Invensys Operations Management współpracowała z firmą Byres Security zajmującą się bezpieczeństwem cybernetycznym, przy dodaniu systemu ściany zaporowej OPC firewall do swojego modułu Tricon Communications Modules (TCM). Firewall uaktywnił warstwę strategii wielostrefowej obrony, co pozwoliło integratorom skorzystać z elastyczności i możliwości integracji OPC Classic, bez obawy o systemy bezpieczeństwa powiązane z systemami opartymi na DCOM.

– Producenci są zagrożeni przez coraz bardziej niebezpieczne cyberataki, które wymagają więcej czujności i zabezpieczeń – powiedział Joe Scalia, portfolio architekt z firmy Invensys Operations Management. – System OPC firewall minimalizuje te zagrożenia poprzez zarządzanie ruchem do i z modułu komunikacji, dając dalsze zapewnienie, że takie cyberwtargnięcie nie zagrozi zintegrowanej komunikacji pomiędzy systemami bezpieczeństwa i krytycznymi obszarami sterowania oraz nadzorczym interfejsem HMI lub rozproszonymi systemami sterowania.

CE